Recopila registros de AWS Route 53
En este documento, se explica cómo configurar AWS CloudTrail para almacenar los registros de DNS de AWS Route 53 en un bucket de S3 y transferir los registros de S3 a Google Security Operations. Amazon Route 53 proporciona el registro de consultas de DNS y la capacidad de supervisar tus recursos con verificaciones de estado. Route 53 se integra con AWS CloudTrail, un servicio que proporciona un registro de las acciones que realiza un usuario, un rol o un servicio de AWS en Route 53.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Acceso privilegiado a AWS
Cómo configurar AWS CloudTrail y Route 53
- Accede a la consola de AWS.
- Busca Cloudtrail.
- Si aún no tienes un registro, haz clic en Crear registro.
- Proporciona un Nombre del segmento .
- Selecciona Crear un bucket de S3 nuevo (también puedes usar un bucket de S3 existente).
- Proporciona un nombre para el alias de AWS KMS o elige una clave de AWS KMS existente.
- Deja los demás parámetros de configuración con sus valores predeterminados y haz clic en Siguiente.
- Selecciona Tipo de evento y asegúrate de que esté seleccionado Eventos de administración (estos son los eventos que incluirán llamadas a la API de Route 53).
- Haz clic en Siguiente.
- Revisa la configuración en Revisar y crear.
- Haz clic en Crear ruta.
- En la consola de AWS, busca S3.
- Haz clic en el bucket de registros recién creado y selecciona la carpeta AWSLogs .
- Haz clic en Copiar URI de S3 y guárdala.
Configura el usuario de IAM de AWS
- En la consola de AWS, busca IAM.
- Haz clic en Usuarios.
- Haz clic en Agregar usuarios.
- Proporciona un nombre para el usuario (por ejemplo, chronicle-feed-user).
- Selecciona Clave de acceso: Acceso programático como el tipo de credencial de AWS.
- Haz clic en Next: Permissions.
- Selecciona Adjuntar las políticas existentes de forma directa.
- Selecciona AmazonS3ReadOnlyAccess o AmazonS3FullAccess.
- Haz clic en Siguiente: Etiquetas.
- Opcional: Agrega etiquetas si es necesario.
- Haz clic en Siguiente: Revisar.
- Revisa la configuración y haz clic en Crear usuario.
- Copia el ID de clave de acceso y la clave de acceso secreta del usuario creado.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración del SIEM > Feeds > Agregar nuevo
- Centro de contenido > Paquetes de contenido > Comenzar
Cómo configurar el feed de DNS de AWS Route 53
- Haz clic en el paquete Amazon Cloud Platform.
- Ubica el tipo de registro DNS de AWS Route 53.
- Opcional: Si usas la API de Ingestion para la transferencia directa de registros, especifica AWS Route 53 como el tipo de registro.
Especifica los valores en los siguientes campos.
- Tipo de fuente: Amazon SQS V2
- Nombre de la cola: Es el nombre de la cola de SQS desde la que se leerá.
- URI de S3: Es el URI del bucket.
s3://your-log-bucket-name/
- Reemplaza
your-log-bucket-name
por el nombre real de tu bucket de S3.
- Reemplaza
Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
ID de clave de acceso a la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 20 caracteres.
Clave de acceso secreta de la cola de SQS: Es una clave de acceso a la cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.
Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
account_id | read_only_udm.principal.resource.product_object_id | Es el ID de la cuenta de AWS asociada a la búsqueda. |
firewall_domain_list_id | read_only_udm.security_result.rule_labels.value | Es el ID de la lista de dominios de la que forma parte el dominio que se consulta. |
firewall_rule_action | read_only_udm.security_result.action | Es la acción que realizó la regla de firewall que coincidió con la búsqueda. Los valores posibles son "ALLOW", "BLOCK" o "UNKNOWN_ACTION" si no se reconoce la acción. |
firewall_rule_group_id | read_only_udm.security_result.rule_id | Es el ID del grupo de reglas de firewall que coincidió con la búsqueda. |
logEvents{}.id | read_only_udm.principal.resource.product_object_id | Es el ID único del evento de registro. Se usa como resguardo si no está presente "account_id". |
logEvents{}.message | Este campo se analiza en otros campos del UDM según su formato. | |
logEvents{}.timestamp | read_only_udm.metadata.event_timestamp.seconds | Es la fecha y hora en que se registró la consulta de DNS. |
messageType | Este campo se usa para determinar la estructura del mensaje de registro. | |
propietario | read_only_udm.principal.user.userid | ID de la cuenta de AWS del propietario del registro. |
query_class | read_only_udm.network.dns.questions.class | Es la clase de la consulta de DNS. |
query_name | read_only_udm.network.dns.questions.name | Es el nombre de dominio que se consultó. |
query_timestamp | read_only_udm.metadata.event_timestamp.seconds | Es la fecha y hora en que se realizó la consulta de DNS. |
query_type | read_only_udm.metadata.product_event_type | Es el tipo de consulta de DNS. |
rcode | read_only_udm.metadata.description | Es el código de respuesta de la consulta de DNS. |
región | read_only_udm.principal.location.name | Región de AWS en la que se originó la consulta. |
srcaddr | read_only_udm.principal.ip | Es la dirección IP del cliente que realizó la consulta de DNS. |
srcids.instance | read_only_udm.principal.hostname | Es el ID de instancia del cliente que realizó la consulta de DNS. |
srcids.resolver_endpoint | read_only_udm.security_result.rule_labels.value | Es el ID del extremo del solucionador que controló la consulta. |
srcids.resolver_network_interface | read_only_udm.security_result.rule_labels.value | Es el ID de la interfaz de red del solucionador que controló la consulta. |
srcport | read_only_udm.principal.port | Es el número de puerto del cliente que realizó la consulta de DNS. |
transporte | read_only_udm.network.ip_protocol | Es el protocolo de transporte que se usa para la consulta de DNS. |
version | read_only_udm.metadata.product_version | Es la versión del formato de los registros de consultas del solucionador de Route 53. |
N/A | read_only_udm.metadata.event_type | Se codifica como "NETWORK_DNS". |
N/A | read_only_udm.metadata.product_name | Está codificado como "AWS Route 53". |
N/A | read_only_udm.metadata.vendor_name | Se codifica de forma rígida como "AMAZON". |
N/A | read_only_udm.principal.cloud.environment | Está codificado como "AMAZON_WEB_SERVICES". |
N/A | read_only_udm.network.application_protocol | Se codifica como "DNS". |
N/A | read_only_udm.network.dns.response_code | Se asigna desde el campo "rcode" con una tabla de búsqueda. |
N/A | read_only_udm.network.dns.questions.type | Se asigna desde el campo "query_type" con una tabla de búsqueda. |
N/A | read_only_udm.metadata.product_deployment_id | Se extrae del campo "logevent.message_data" con el patrón de Grok. |
N/A | read_only_udm.network.dns.authority.name | Se extrae del campo "logevent.message_data" con el patrón de Grok. |
N/A | read_only_udm.security_result.rule_labels.key | Se establece en "firewall_domain_list_id", "resolver_endpoint" o "resolver_network_interface", según los campos disponibles. |
N/A | read_only_udm.security_result.action_details | Se establece en el valor de "firewall_rule_action" si no es "ALLOW" o "BLOCK". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.